Hardware Wallets

adsr · 5 Agosto, 2020 07:33

Depende de lo que busques…

Ledger nano es sencillo, tiene su app para gestionar, parece un pendrive (no da mucho el cante), es barato…

Trezor lo pondría a la par, en vez de app utiliza una web (con sus ventajas e inconvenientes) y es barato… Algo más bitcoinist y menos shitcoinsit que Ledger

Coldcard es solo bitcoin, más cara, dicen que bastante más segura y sobre todo la veo interesante si quieres aprovechar y aprender (o si tienes buen parné y quieres tener más seguridad)

Para interactuar con sitios como los DeFis, Metamasks y cosas de esas, los botones del Trezor son más grandes y cómodos que los del Nano. En resumen, no hay una respuestá única. Cada uno te hablará desde su experiencia. Si es tu primer HW creo que Trezor One o Ledger Nano X son buenas opciones y estás tardando en pillar cualquiera de los dos.

aleix · 5 Agosto, 2020 10:01

Parece que han encontrado una vulnerabilidad en el Ledger. Para vuestra información:

https://www.reddit.com/r/Bitcoin/comments/i3j5xo/ledger_app_isolation_bypass/
Ledger App Isolation Bypass

Respuesta de la gente de Ledger:

Ledger Security Bulletin 014 | Donjon

adsr · 5 Agosto, 2020 11:56

Alguien puede resumirlo y si es grave? Es que ahora no tengo tiempo de leer todo
… edit…

Según quien ha detectado la vulnerabilidad:

The ledger device exposes bitcoin (mainnet) public key and signing functionality outside of the “Bitcoin” app. It presents misleading transaction confirmation requests indicating the selected app’s addresses and amounts when in fact different transactions are being signed.

It was discovered that for Bitcoin and Bitcoin forks, the device exposes it’s functions for any of the assets. In other words, having unlocked the Litecoin app, you will receive a confirmation request for a Bitcoin transfer while the interface presents it as a transfer of Litecoins to a Litecoin address. Accepting the confirmation produces a fully valid signed Bitcoin (mainnet) transaction .

Solución:

Avoid using altcoin apps until fixes are available

Segun Ledger:

The Ledger Nano S and Nano X are Hierarchical Deterministic (HD) wallets, meaning that they can derive different cryptographic secrets from a single seed. As written in the Threat Model, apps can derive keys on their own HD path only, which ensures that cryptocurrency apps cannot use keys from each other. For instance, the Zcoin app cannot derive keys on the Dogecoin derivation path ( m/44'/3'/ ), since its own derivation path is m/44'/128'/ .
This path restriction was not enforced for the Bitcoin app and most of its derivatives, allowing a Bitcoin derivative (eg. Litecoin) to derive public keys or sign Bitcoin transactions.

Solución:

We had to make a choice between security and usability, wanting to avoid a situation where user funds would be locked and users unable to spend their funds anymore. We thus chose to enforce a path lock in the Bitcoin app itself. If a Bitcoin derivative app tries to perform a derivation on an unusual path, a warning is displayed to the user.
In order to allow users to continue to use their Ledger Nano S/X seamlessly with any third party software wallet, this fix doesn’t enforce this verification from the OS though, which means that the --path parameter is still empty. We might add an exhaustive path list in the future if we are sure it doesn’t break any other wallets.

Si no he entendido mal, las apps dentro de ledger comparten en algunos casos (en bitcoin, forks y derivados) información del path que genera la semilla (esto seguro que lo expreso mal, disculpadme) que puede usarse para que por ejemplo, pensando que estás haciendo una transacción de Bitcoin Cash, la estés haciendo de Bitcoin y te saquen los satoshis.

La solución según Ledger, que no sé si ya está implementada, es que te salte un aviso, ya que el sistema que utilizan indican que es el adecuado para que haya compatibilidad entre otros software wallets que puedan interactuar con Ledger.

Si alguien matiza o aclara algo estaré encantado de corregirlo

adsr · 5 Agosto, 2020 14:25

En el hilo de reddit, un usuario, que entiendo que está vinculado a Trezor, indica primero que en los Trezor esto no sucede, que introdujeron un parámetro para evitarlo en 2014 ¿? Luego se corrige diciendo que en el Trezor One no está implementado y que meten el fix hoy.

Después el debate principal está en si la actitud de Ledger es la adecuada, simplemente avisando al usuario de que se está firmando una transacción de otra moneda o si se debe limitar este funcionamiento a costa de otras funcionalidades o usabilidad (esto ya se escapa de mi conocimiento).

Rafabtx · 5 Agosto, 2020 14:53

¿Has probado el Ledger Nano X?

Juanma · 5 Agosto, 2020 15:43

Me animó a hacerme con un HW, y mira, standby otra vez…seguimos con el papelito en la caja fuerte…

Rafabtx · 5 Agosto, 2020 15:47

Como comodidad de uso pues eso, no es muy alta, en cuanto a seguridad, si no la lias escaneando/copiando claves, es igual de seguro que un HW.

Juanma · 5 Agosto, 2020 15:49

Nada, un folio por wallet, listo…si se pierden me echan de casa, seguro…

Daniel_Palazon · 5 Agosto, 2020 16:27

Joder, al final desearé que me custodien los bitcoins en la puta Caixa.

franckuestein · 5 Agosto, 2020 16:33

Perdonad el offtopic pero me veo obligado a moverlo a HUMOR Bitcoin y criptomonedas

Dalai · 5 Agosto, 2020 19:05

Con la herramienta de BIP39 - Mnemonic Code puedes crear todas las Seed que quieras pero con passphrase, de tal forma que si te encuentran los papelitos nadie podrá usarlos. .
Con por ejemplo solo memorizar una palabra o una pequeña frase, que sepas no vas a olvidar, ya tendrás tus papelitos a prueba de intrusos.

Si no quieres usar Bip39 para generar una Seed, y solo quieres crear pares de claves publico/privadas le puedes poner un password de encriptación usando Bip38, pasará lo mismo que con la seed, que si alguien encuentra el papelito de tus claves no podrán usarlas, ya que los fondos estarán en la dirección que resulta de derivar las claves con el password, todo lo puedes hacer con la herramienta de BIP39 - Mnemonic Code

Para el caso de perdida de los papelitos tambien hay formas de guardar las seed de forma segura y que siempre puedas acceder a ella, eso sí, siempre con Passphrase.

Rafabtx · 6 Agosto, 2020 03:26

Que mal

Juanma · 6 Agosto, 2020 04:02

Dalai · 6 Agosto, 2020 05:57

Mi recomendación sería que no tengáis en el mismo dispositivos monedas bifurcadas de Bitcoin si usais el wallet en modo sincronización en las plataformas que lo ofrecen.

Si se tiene en cuenta la anterior recomendaciones está “vulnerabilidad” no os afecta.

A mi jamás se me ha ocurrido sincronizar mi wallet en ninguna plataforma, debe de usarse como una caja fuerte, y no como un monedero, para eso hay otras aplicaciones.

DeeDee · 6 Agosto, 2020 05:59

Con el ledger live si no?

Dalai · 6 Agosto, 2020 06:02

Claro que sí, sin problema, el problema viene cuando lo sincronizado en otras plataformas de terceros, cosa que tiene poco sentido.
Eso sí, si tienes en el dispositivo tus fondos con passphrase y otros fondos de uso cotidiano sin ella, puedes usar estos últimos en modo sincronización teniendo en cuenta que en esta forma de no passphrase no debes tener monedas que sean bifurcación unas de otras.

Pero como principio importante , lo suyo es no sincronizar con nadie tu dispositivo, para eso existen hot wallet fáciles de usar, así no comprometes tus ahorros del ledger o el Trezor.

Paulshirley · 6 Agosto, 2020 07:19

Se agradecen tus explicaciones Dalai. A los que somos novatos nos ayuda muchísimo. Seguiré usando el Ledger Liven sin miedo. ¡Gracias!

adsr · 6 Agosto, 2020 08:31

Por lo que he leido, más que una vulnerabilidad de los HW es una característica de las propias derivadas de bitcoin. La solución no es tan complicada, si tienes unos fondos lo suficientemente grandes, puedes permitirte tener un wallet para Bitcoin (o Bitcoin y Ethereum u otra cripto que no sea “prima” de Bitcoin) y otro para otras cosas. O puedes “diversificar” con parte de los fondos en Ledger, otros en Trezor, otros en papel…

Cuestan 59€ joder, no 590€, os gastáis más un fin de semana en cenar y copas. Compráis dos y usáis uno para “lo gordo” y otro para monear en wallets, defis o donde os aptezca sin miedo. El paper wallet es bajo mi punto de vista, mucho más arriesgado.

Mantengo lo que he dicho y te recuerdo que dije que quien esté especialmente preocupado por la seguridad, tiene la opción de usar Coldcard, pero no lo recomiendo sin haber pasado antes por un HW más usable como proceso de aprendizaje (salvo que seas un crack)

Juanma · 6 Agosto, 2020 08:38

Llevo desde 2015 en este mundillo, ni aprendiz, ni crack, aunque no dejamos de aprender todos los días, en todos los aspectos de la vida.

Y el comentario mio fue más bien por la casualidad de lo que recomiendas y lo que sucedió después. Nada personal…

adsr · 6 Agosto, 2020 08:43

Lo comentaban en los comentarios de Reddit de lo de Ledger. Esta es la respuesta de Trezor:

Today, we released the latest firmware update for the Trezor Model T and Model One. This is not a mandatory update for Model T users — you can continue safely using your wallet even if you don’t update your firmware. Model One users will benefit from the path isolation check fix noted below; this update is highly encouraged if you use your Model One for altcoins, but not urgent if you are only transacting Bitcoin.

Model T no debe tener el problema, pero recomiendan actualizar el One. Dicen (obvio), que si solo usas el wallet para bitcoin no tienes problema. De hecho, creo recordar que Trezor tiene firmware para que el cacharro solo sirva para Bitcoin.